Beiträge

Das Dunkelfeld in der Auswertung zum Warntag 2023

Was die Umfrage zum bundesweiten Warntag 2023 nicht aussagt

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) hat Ende Mai 2024 die Auswertung zur Umfrage zum bundesweiten Warntag 2023 veröffentlicht.

Dieser Bericht behandelt die Erkenntnisse, die aus der Online-Umfrage der Bevölkerung zum bundesweiten Warntag 2023 gesammelt wurden. Der Fokus der Umfrage liegt also auf den Empfängern der Warnungen. Obwohl Experten dies vorausgesagt haben, freuen wir uns trotzdem über die wissenschaftliche Bestätigung, dass die Einführung von Cell Broadcast eine gute Idee war und Cell Broadcast überraschend viele BürgerInnen erreicht. Die Wichtigkeit von Cell Broadcast im Warnmittelmix wurde aus unserer Sicht am Warntag bestätigt.

Die AG KRITIS steht jedoch auch im regelmäßigen Austausch mit Katastrophenschutz-Behörden und Rettungsleitstellen im Bundesgebiet, also den Versendern der Warnungen. Deren Erfahrungen mit dem bundesweiten Warntag, ggf. regionalen Warntagen und „echten“ Warnungen der Bevölkerung werden im oben genannten Bericht des BBK leider nicht abgebildet.

Ein Beispiel aus dem Hochwasser in Südwestdeutschland im Mai 2024:
Wie schon im Juli 2021 war Rheinland-Pfalz massiv betroffen, jedoch in anderen Landesteilen. Während im Ahrtal heute flächendeckend elektronische Sirenen mit Hochleistungs-Lautsprechern in Betrieb sind und regelmäßig getestet werden, konnte im nun betroffenen Landkreis Südwestpfalz die Bevölkerung oft nur mittels mobiler Lautsprecheranlagen gewarnt werden.
Zwar läuft seit 2022 auch in dieser Region der Sirenenausbau in hochwasser-gefährdeten Gebieten und Sirenen sind teilweise bereits installiert. Sie konnten beim Hochwasser im Mai 2024 jedoch noch nicht sinnvoll zum Einsatz kommen. Der Grund dafür ist die mangelnde Koordination durch das Land.

Auch mehr als 3 Jahre nach der Flut im Ahrtal sind technische Details zur Ansteuerung der Sirenen noch offen bzw. es fehlt an landes-einheitlichen Festlegungen und Vorgaben für die Kommunen und Gemeinden, wie mit den neuen Sirenen umgegangen werden soll. Die Kommunen und Gemeinden haben keine verbindlichen Vorgaben in welchen Szenarien und Gefahrenlagen alarmiert werden soll. Da die neuen Lautsprechersirenen in der Lage sind, sowohl Warntöne, als auch Lautsprecherdurchsagen zu übermitteln benötigt es auch hier Vorgaben, welche Töne oder Durchsagen in welcher Art verwendet werden sollen. Für diese Notwendigkeit ist der technische Fortschritt verantwortlich: Die alten, analogen Sirenen haben den Klang mechanisch generiert – damit war der genaue Klang ab Werk unveränderbar und eine Vorgabe dieser Art nicht notwendig.

Es braucht genaue Festlegungen,

  • von ausformulierten Warnmitteilungen für definierte Schadenfälle (z.B. allgemeine Gefahrenlage Hochwasser, flächendeckender Stromausfall),
  • für die alleinige Verwendung eines bestimmten Sirenen-Warntons, bzw.
  • für einen Sirenen-Warnton kombiniert mit gesprochenen Warnmitteilungen (z.B. „Achtung Achtung, hier spricht ihre Feuerwehr, Gefahr, ich wiederhole, Gefahr, verlassen sie sofort dieses Gebiet, informieren sie sich über die Medien oder Warn-App, halten sie den Notruf frei„) und,
  • von Alarmierungsadressen für die Ansteuerung über das kommunale digitale Alarmierungsnetz und das BOS-Digitalfunknetz

Derzeit muss jede Verbandsgemeinde-Verwaltung (als unterste Verwaltungsebene in Rheinland-Pfalz und Betreiber der Sirenen) bei ihrer Kreisverwaltung nachfragen, die wiederum bei der Aufsichts- und Dienstleistungsdirektion (ADD) nachhakt. Diese verweisen nur auf eine zukünftige landes-einheitliche Regelung, können aber nicht konkret weiterhelfen.

Einige Kreise legen daher die technischen Details zur Sirenenalarmierung selber fest. Gut vernetzte Verbandsgemeinden übernehmen die eine oder andere Festlegung, so entsteht dann eine bunter Flickenteppich an verschiedenen Umsetzungen. Andere Kommunen nehmen ihre neu aufgebauten Sirenen aufgrund dieser Rechtsunsicherheit gar nicht erst in Betrieb und warten eine landes-einheitliche Vorgabe ab.

Unser Sprecher Manuel Atug dazu: „Katastrophenschutz ist keine kommunale Spielwiese!

Die AG KRITIS fordert im Nachgang zum bundesweiten Warntag 2023 deshalb:

  1. Die Mittel zur Warnung der Bevölkerung müssen flächendeckend vorhanden und regelmäßig getestet werden.
    1. Der Betrieb und die Beschaffung von Warnmitteln zur Warnung der Bevölkerung müssen explizit in die Hände der Bundesländer gelegt werden. Derzeit delegieren die Länder diese wichtige Aufgaben an die Kommunen, statten die Kommunen dann aber nicht mit den notwendigen Finanzmitteln und technischen Vorgaben aus. Im Ergebnis gibt es nicht überall Sirenen und beispielsweise die Anbindung von Stadtinformationssystemen an das Modulare Warnsystem (MoWas) ist äußerst heterogen.
    2. Wir fordern die verpflichtende Teilnahme aller Kommunen am bundesweiten Warntag. Aktuell erfolgt die Teilnahme am bundesweiten Warntag auf freiwilliger Basis.
  2. Sirenen-Warnung muss endlich einheitlich festgelegt werden:
    1. Kurzfristig muss jedes Bundesland klare Festlegungen treffen hinsichtlich der verwendeten Sirenen-Warntöne, der über elektronische Sirenen gesprochenen Warnmitteilungen, der technischen Festlegungen wie Alarmierungsadressen und der organisatorischen Abläufe wie Standort-Genehmigungsverfahren mit der Bundesnetzagentur. Diese Festlegungen müssen den Kommunen als Betreiber der Sirenen klar kommuniziert werden.
    2. Eine bundesweite Harmonisierung der verwendeten Sirenen-Warntöne und der über elektronische Sirenen gesprochenen Warnmitteilungen ist anzustreben.
  3. Wir empfehlen einen jährlichen regionalen Warntag je Bundesland. Dieser sollte halbjährlich versetzt zum bundesweiten Warntag durchgeführt werden. Damit bestünde die Möglichkeit, umgesetzte Maßnahmen zur Warnung der Bevölkerung auch zwischen den jährlichen bundesweiten Warntagen zu validieren.
    In den Bundesländern Nordrhein-Westfalen und Bayern haben sich diese regionalen Warntage im März bereits bewährt.
  4. Ferner ist ein Landes-Förderprogramm zum Sirenen-Ausbau je Bundesland zu empfehlen. Diese können zusätzliche Mittel bereitstellen, unabhängig vom bereits ausgeschöpften bundesweiten Sirenen-Förderprogramm. Jede Kommune in jedem Bundesland sollte Sirenen zur Warnung der Bevölkerung vorhalten.

Vielen Dank für das Foto an Mufid Majnun auf Unsplash

Schriftliche Stellungnahme zum Gesetzentwurf des Thüringer Brand- und Katastrophenschutzgesetzes

Der Innen- und Kommunalausschuss des Thüringer Landtags hat in seiner 57. Sitzung am 15. März 2024 beschlossen, ein schriftliches Anhörungsverfahren durchzuführen zum Gesetzentwurf des Thüringer Gesetzes über den Brandschutz, die Allgemeine Hilfe und den Katastrophenschutz (Thüringer Brand- und Katastrophenschutzgesetz – ThürBKG).

Der zur Diskussion stehende Gesetzentwurf wurde auf Drucksache 7/9658 von den drei Regierungsfraktionen DIE LINKE, der SPD und BÜNDNIS90/DIE GRÜNEN eingebracht. Auch der AG KRITIS wurde dabei Gelegenheit zu einer schriftlichen Stellungnahme gegeben.

Wir empfehlen dabei unter anderem allen Bundesländern folgende Maßnahmen gemeinsam umzusetzen:

1. Ausnahmslos alle Behörden und Organisationen mit Sicherheitsaufgaben (BOS) der Bundesländer müssen verbindlich das abhörsichere und hochverfügbare BOS-Digitalfunknetz nutzen. Denn im Bereich der nicht-polizeilichen Gefahrenabwehr (Rettungsdienst, Feuerwehr, Katastrophenschutz) kommen bundesweit aktuell immer noch analoger Sprechfunk und unverschlüsselte digitale Alarmierungstechnik zum Einsatz. Sie können lokal einfach abgehört werden und wurden in der Vergangenheit im großen Umfang im Internet frei zugänglich gemacht. Lediglich die Polizei nutzt flächendeckend den abhörsicheren BOS-Digitalfunk.

2. Die Alarmierung der Einsatzkräfte (insbesondere Rettungsdienst, Feuerwehr, Psychosoziale Notfallversorgung) muss zwingend verschlüsselt erfolgen.

3. Die Mittel zur Warnung der Bevölkerung müssen flächendeckend vorhanden und regelmäßig getestet werden.

4. Wir fordern die Errichtung eines Kommunal-CERT in jedem Landes-CERT in allen Bundesländern. Dieses sollte für alle Einrichtungen auf kommunaler Ebene zum Einsatz kommen, wie z.B. Rathäuser, Kreisverwaltungen und Rettungsleitstellen. Nur so kann das Gemeinwesen der Bundesländer auf allen Ebenen resilienter gestaltet werden, insbesondere gegen Bedrohungen aus dem Cyber-Raum und großflächige Ausfälle landesweiter IT-Infrastruktur. Denn in einigen Bundesländern ist das Landes-CERT nicht zuständig für kommunale Einrichtungen, sondern nur für Behörden und Ämter des Landes und landeseigene Betriebe.

Der Gesetzentwurf zielt vordergründig auf den Bereich des Brand- und Katastrophenschutzes im engeren Sinne ab. Um eine gesamtstaatliche und gesamtgesellschaftliche Resilienz zu erreichen, wäre ein wesentlich breiterer Ansatz erforderlich. Hierfür sei verwiesen auf das Sendai-Rahmenwerk für Katastrophenvorsorge 2015–2030, sowie dessen nationale Umsetzung durch die Resilienzstrategie des Bundes.

Titelbild wurde von Alupus angefertigt und via Wikimedia Commons veröffentlicht. Das Bild steht unter CC BY-SA 3.0 Lizenz.

Schriftliche Stellungnahme für Anhörung im Thüringer Landtag zur Änderung des Thüringer Brand- und Katastrophenschutzgesetzes

Der Innen- und Kommunalausschuss des Thüringer Landtags hat in seiner 53. Sitzung am 30. November 2023 beschlossen, ein schriftliches Anhörungsverfahren durchzuführen zum beratenen Gesetz zur Änderung des Thüringer Brand- und Katastrophenschutzgesetzes.

Der zur Diskussion stehende Gesetzentwurf wurde auf Drucksache 7/8909 von den drei Regierungsfraktionen DIE LINKE, SPD und BÜNDNIS90/DIE GRÜNEN eingebracht .

Teil der Anhörung ist auch ein Entwurf der FDP. Dieser Entwurf regelt ausschließlich die Altersversorgung von Feuerwehrangehörigen. Da die AG KRITIS diese Fragestellungen bisher nicht diskutiert hat, sehen wir von einer Stellungnahme zur entsprechenden Drucksache 7/8910 ab.

Der Regierungsentwurf will die alten analogen und unverschlüsselten Alarmierungsnetze der 14 Rettungsleitstellen durch moderne Technologie ersetzen. In unserer Stellungnahme geben wir Empfehlungen für daraus folgende technische Entscheidungen.

Unsere Stellungnahme findet sich hier zum Download.

Titelbild wurde von Alupus angefertigt und via Wikimedia Commons veröffentlicht. Das Bild steht unter CC BY-SA 3.0 Lizenz.

 

Datenabfluss bei Feuerwehr und Rettungsdienst

Benötigt man im Notfall medizinische Hilfe oder technische Hilfe durch die Feuerwehr, dann wählt man die 112 und wird mit der nächstgelegenen Rettungsleitstelle verbunden. Hier schildert man sein Anliegen.
Was ist passiert? Namen und Anschrift der betroffenen Person werden übermittelt.
Weiter werden auch erste relevante medizinische Details, also ob sich die Betroffene ein Bein gebrochen hat, oder einen Kollaps erlitten hat, auch Alter und Geschlecht der Person in Not.
In manchen Fällen werden auch Rückrufnummern abgefragt.
Hat man sein Anliegen geschildert, dann ist „Hilfe unterwegs“.

In solch einer Notfallsituation kann sich der Hilfesuchende keine Gedanken über Datenschutz machen.
Sicher ist jedoch, dass es sich bei den Alarmierungsdaten um einen hoch sensitiven und sehr einfach individuell zuzuordnenden Datensatz handelt, welcher unter allen Umständen vertraulich behandelt werden sollte.
Blöd wenn dies nicht passiert. Doch genau das zeigte im Herbst 2020 eine Fachzeitschrift

Wenn Alarmierungsnachrichten wie:

28.03.22 14:48:24 1234567 RD Einsatz: Wiesbach Bahnbrücke K1536 Uslarer Straße 48. Richtung K 16 #Müller 36 J ##Fahrradsturz , Kopfplatzwunde##8382 14:48

26.03.22 19:01:12 0868989 KT liegend: Ostheim Alte Schulstraße 7 #Becker 68 Jahre#Norovirus#Durchfällen seit der Nacht#V. a. NORO#T 39,50#M4 Zwiefalter Bürgerspital GmbH#8202 19:01

27.03.22 10:54:20 3456789 Dialyse Tragestuhl: Dunzweiler Dialyse Hartwig / Stock 54A #Schmidt 76 Jahre##Fertig 11.20#Eichenweg#8235 10:54

25.03.22 18:06:57 4710815 Tür öffnen: Depsried Scharnhorststraße 3 2 OG#Für Polizei#8040 18:06

18.03.22 14:24:42 4988652 nfs-RV Ginsterweg 38 Mallstatt Notfallseelsorge – Übermittlung Todesnachricht nach Suizid – bei Polizei-Inspektion Worms melden

in Echtzeit und öffentlich auf einer Internet-Seite mitgelesen werden können, dann werden durch diesen Datenabfluss auch Tür und Tor für weiteren Missbrauch geöffnet.
Die oder der Betroffene bekommt davon zunächst erst mal nichts mit.

Nach Bekanntwerden der Sicherheitslücke eines gängigen Programms bei Hilfsorganisationen im Herbst 2020 wurde diese Problem durch ein Programm-Update behoben.
Allerdings zeigte sich, dass dieses Update nicht konsequent eingespielt wurde. Bis Frühjahr 2022 waren noch über 50 frei zugängliche Webserver online ohne Zugriffsschutz erreichbar.

51 dieser frei zugänglichen Webserver verteilten sie quer über Deutschland, auch 6 Fälle in Österreich konnten gefunden werden.

Dass diese Fälle nicht ohne Konsequenzen bleiben müssen, zeigt ein Fall aus Northeim. Rein rechtlich gesehen handelt es sich hier auch um Verstöße gegen die DSGVO, welche die zuständige Kreisverwaltung – als Betreiber der Rettungsleitstelle – der Landesbehörde für Datenschutz innerhalb 72 h nach Bekanntwerden melden muss. In Northeim wurde dies versäumt. Die Kreisverwaltung hatte „Glück“ und kam hier noch mit einem „deutlichen Hinweis“ davon.

Zu diesem Sachverhalt hat auch der Bayerische Rundfunk einen Artikel veröffentlicht, dieser beschreibt den hier dargelegten Sachverhalt:

 

Was ist passiert und warum konnte das in einem solchen Ausmaß passieren?

Das technische Problem hinter diesen Datenabflüssen liegt „auf der letzten Meile“, d. h. bei den Feuerwehr-Einheiten und Hilfsorganisationen vor Ort. Zur Nachalarmierung von Einsatzkräften verwenden Löscheinheiten von Feuerwehren und Ortsverbände von Hilfsorganisationen oft PC-basierte Programme bei sich vor Ort. Zu nennen ist hier beispielsweise BosMon, ein kostenloses, weit verbreitetes Programm.

Derartige Programme haben folgende Leistungsmerkmale:

a) unverschlüsselt übertragene analoge oder digitale Alarmierungen können über über die Soundkarte des PC selber ausgewertet werden. Das Audio-Signal wird von einem separaten angeschlossenen Funkmelde-Empfänger bereitgestellt.

b) Funkmelde-Empfänger werden über ihre serielle Schnittstelle mit dem PC verbunden. Damit ist auch es möglich, verschlüsselt übermittelte Alarmierungen (die erst im Funkmelde-Empfänger entschlüsselt wurden) in Klartext weiter zu verarbeiten.

Nachfolgend ist es dann möglich, eine konfigurierbare Weiterleitung der eingegangenen Alarm-Meldungen als SMS oder Push-Nachricht einzurichten. Dafür werden die eingegangenen Alarme auch auf einem Webserver dargestellt.

Das Problem:

BosMon erlaubte es in älteren Programmversionen bis Herbst 2020, den Webserver ohne Passwortschutz zu konfigurieren. Auf die Übersicht der eingehenden Alarme auf dem Webserver kann dann ohne Zugangsbeschränkungen zugegriffen werden.
Auffindbar sind die IP-Adressen und Ports der Webserver über die einschlägigen Suchmaschinen. Sind die IP-Adresse und die Ports bekannt, ist der direkte Zugriff auf die eingehenden Alarmmeldungen möglich.

Wie kann es dann sein, dass bei der Alarmierung immer wieder personenbezogene Daten in so großem Stil frei zugänglich im Internet landen und das auch noch deutschlandweit? Man liest doch immer vom bundesweiten, digitalen, abhörsicheren Behördenfunknetz. Wie erreichen die Alarmierungen der Rettungsleitstellen die hauptberuflichen oder ehrenamtlichen Rettungskräfte bei Rettungsdienst und Feuerwehr ?

Das hängt in Deutschland stark vom jeweiligen Bundesland und dem Landkreis ab.

Bei den Behörden und Organisationen mit Sicherheitsaufgaben (BOS) kommen im Bereich der nicht-polizeilichen Gefahrenabwehr (also Feuerwehr, THW, Rettungsdienst) zur Alarmierung von Einsatzkräften sogenannte Funkmelde-Empfänger zum Einsatz, im ländlichen Raum zusätzlich oft auch Sirenen.

Jedes Bundesland entscheidet selbst, welche Technologie für die Alarmierung verwendet wird.
Im Zuge der Digitalisierung entscheidet auch jedes Bundesland selbst über den Umstieg von bestehender analoger oder digitaler unverschlüsselter Alarmierung zu neuer digitaler und verschlüsselter Alarmierung.

In Deutschland verwendete Systeme

Die in Deutschland verwendeten Systeme lassen sich in diese vier Kategorien einteilen:

  • Unverschlüsselte analoge Alarmierung mit Sprach-Durchsage
  • Digitale unverschlüsselte Alarmierung (Textnachrichten) nach POCSAG-Standard
  • Digitale verschlüsselte Alarmierung nach POCSAG-Standard mit proprietärer Verschlüsselung
  • Verschlüsselte Alarmierung (Text-Nachricht) über das „BOSnet“, das Digitalfunknetz der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS)

Unverschlüsselte analoge Alarmierung mit Sprach-Durchsage:

Alle analogen Funkmelde-Empfänger z. B. einer Feuerwehr-Einheit werden auf die gleiche fünfstellige Adresse (5-Ton-Folge oder Selektivruf, ähnlich DTMF) kodiert.
Die Leitstelle sendet diese fünfstelligen Tonfolgen über Funk aus, um an den Funkmelde-Empfängern einen lauten Warnton zu aktivieren. Danach aktivieren die Funkmelde-Empfänger den eingebauten Lautsprecher und die Durchsage der Leitstelle ist zu hören.

Diese Technik ist seit den 1970ern in Deutschland im Einsatz.
Als Infrastruktur dienen die bis vor Einführung des Digitalfunkdienstes („BOSnet“) genutzten flächendeckenden Analog-Funknetze, welche von den Kommunen unterhalten wurden bzw. werden.

Nachteilig ist dabei:
Eine einzelne Alarmierung dauert mindestens 3 Sekunden zuzüglich Sprach-Durchsage.
Bei Großschadenslagen dauert die Alarmierung mehrerer Alarmierungs-Gruppen zum Teil einige Minuten. Außerdem kann die Alarmierung leicht abgehört werden.

Aktuell ist die Technik z. B. noch in Teilen von Rheinland-Pfalz, Thüringen, Baden-Württemberg und Bayern im Einsatz.

Auf einem BosMon-Webserver werden die Alarmierungen wie folgt dargestellt:

17.03.22 16:25:24 20-580 Kreisbrandinspektion Brettheim
19.03.22 01:30:17 20-598 Notzheim Feueralarm
21.03.22 19:18:46 47-253 Notarzt-Einsatzfahrzeug Rotkreuz Schweinfurt 76.1

Die analoge Alarmierung kann im jeweiligen Leitstellenbereich mit einfachen Mitteln abgehört werden, jedoch werden der Einsatzort und weitere personenbezogene Details nur in der analogen Sprachdurchsage mitgeteilt, die von BosMon nicht erfasst wird.
Die Darstellung auf dem Webserver beschränkt sich auf den Zeitstempel, die Alarmierungsadresse des Einsatzmittels und – falls vom Webserver-Betreiber korrekt eingepflegt – auch der Darstellung des Einsatzmittels in Klartext.

Ein Drittel der aufgefundenen frei erreichbaren Webserver zeigte „nur“ analoge Alarmierung an, die restlichen zeigten digitale Alarmierung, also Alarmierungen als Textnachricht an.

Digitale unverschlüsselte Alarmierung (Textnachrichten) nach POCSAG-Standard:

Der zugrunde liegende POCSAG-Standard aus den 1980er Jahren erlaubt die digitale Übertragung von kurzen Textnachrichten. Empfängt der Funkmelde-Empfänger eine Nachricht, wird diese nach dem Ertönen eines lauten Warntons auf einem Display dargestellt.

Als Infrastruktur dienen von den Kommunen unterhaltene POCSAG-Funkrufnetze, die ausschließlich für die Alarmierung genutzt werden.

Nachteilig ist hier:
Der POCSAG-Standard sieht per se keine Verschlüsselung vor.
Unverschlüsselte POCSAG-Nachrichten können mit kostengünstigen Empfängern und freier Software leicht mitgehört werden. Diese Technik kommt noch in Teilen von Rheinland-Pfalz und von Nordrhein-Westfalen zum Einsatz.

Auf einem BosMon-Webserver wird die Alarmierung wie folgt dargestellt:

28.03.22 14:48:24 1234567 RD Einsatz: Wiesbach Bahnbrücke K1536 Uslarer Straße 48. Richtung K 16 #Müller 36 J ##Fahrradsturz , Kopfplatzwunde##8382 14:48
27.02.21 10:54:20 3456789 Dialyse Tragestuhl: Dunzweiler Dialyse Hartwig / Stock 54A #Schmidt 76 Jahre##Fertig 11.20#Eichenweg#8235 10:54
25.02.21 18:06:57 4710815 Tür öffnen: Depsried Scharnhorststraße 3 2 OG#Für Polizei#8040 18:06

Auf dem Webserver werden also Zeitstempel, Alarmierungsadresse und der Alarmierungstext in Klartext dargestellt. Aufgrund der begrenzten Zeichenlänge werden oft Abkürzungen verwendet. Personenbezogene Daten sind in vollem Umfang einsehbar.

Ein Nachteil der von den Kommunen unterhaltenen POCSAG-Funkrufnetze ist:

Die Kommunen sind für den reibungslosen Betrieb im „Normalfall“ und bei „Großschadenslagen“ selbst verantwortlich, d. h. sie müssen die Infrastruktur auch bei flächendeckenden Ausfällen der Stromversorgung und von Übertragungstechnik in Betrieb halten. Das funktioniert aber nicht immer.
In Berlin-Köpenick kam es beim Stromausfall im Februar 2019 nach 5 Stunden auch zum teilweisen Ausfall der digitalen Alarmierungstechnik.

Rheinland-Pfalz setzt zukünftig ausdrücklich auf sein neues, autarkes POCSAG-Alarmierungsnetz, dieses verfügt über eine unterbrechungsfreie Stromversorgung für mindestens 12 Stunden.

Ferner bietet die e*message GmbH mit ihrem Dienst e*BOS ein kommerzielles POCSAG-Alarmierungsnetz, auf das manche Kommunen zurückgreifen, wie z. B. Gelsenkirchen.

Digitale verschlüsselte Alarmierung nach POCSAG-Standard mit proprietärer Verschlüsselung:

Eine Erweiterung bieten proprietäre Lösungen, die eine Verschlüsselung bei POCSAG nachträglich realisieren. Ähnlich der E-Mail-Verschlüsselung wird im unverschlüsselten Textfeld des Funktelegramms eine separates Verschlüsselungsprotokoll implementiert. Die Produkte unterschiedlicher Hersteller sind untereinander nur bedingt kompatibel, was Kommunen zum Teil auf einen einzelnen Lieferanten festlegt.

Auf einem BosMon-Webserver wird Alarmierung wie folgt dargestellt:

15.03.22 10:30:53 0013951 vXA<DC2><NAK>qPB<SI>X<GS>&<CR>A-x7<ETB>Z(<SUB>$<ETX>H/f$1=A-<DC4>(5<CAN>`!<SUB>ob<DC3>sk!,F>r-o4PC-!ä<SI>m<ETX>Pfö<DC4><CAN><ENQ>Z<HT>0<GS>FE!<ENQ>w<STX><ESC>k`+<BEL>p(t<BEL><DC3>4FeÄ!<CR>fL

Der Alarmierungstext wird nun verschlüsselt dargestellt. Allerdings gibt es auch Leitstellen, bei denen nur Rettungsdienst-Alarmierungen verschlüsselt werden. Alarmierungen für Feuerwehr- und Notfallseelsorge werden weiterhin unverschlüsselt übertragen. Leider finden sich auch hier Fälle, in denen personenbezogene Daten übermittelt werden. Erst nach mehrfachen Meldungen der AG KRITIS-Mitglieder an das Landes-CERT und den Landesdatenschutzbeauftragten konnte dies abgestellt werden.Die betroffene Leitstelle sendet stattdessen nur noch eine ungenaue Adresse ohne Hausnummer und die Einsatzkräfte müssen die genaue Einsatzstelle bei der Leitstelle erfragen.

Verschlüsselte Alarmierung (Textnachricht) über „BOSnet“, das Digitalfunknetz der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS):

Das BOSnet bietet neben den Diensten Sprachkommunikation und Text-Kurznachrichten zwischen einzelnen Teilnehmern („SDS“, ähnlich SMS) auch die Möglichkeit der Alarmierung von Funkmelde- und Sirenen-Empfängern („Call-out“).

Von Vorteil für die Kommunen ist, dass dazu auf die bestehende Infrastruktur des BOSnet zurückgegriffen werden kann. Es müssen keine eigenen Funkrufnetze errichtet und unterhalten werden. Auch für die Rettungsleitstellen und Einsatzleiter gibt es hier entscheidende Vorteile gegenüber den vorher genannten Alarmierungslösungen. Anders als bei den POCSAG-basierten Funkrufnetzwerken, haben Funkmelde- und Sirenen-Empfänger hier einen Rückkanal, die den korrekten Empfang der Alarmierung zurückmelden kann sowie eine Quittierung durch die alarmierten Einsatzkräfte erlaubt („ich komme“ bzw. „ich kann nicht“). Weiter ist es durch die Vernetzung des BOSnet leichter möglich, dass Leitstellen im Rahmen überörtlicher Katastrophenhilfe auch Einheiten und Sirenen außerhalb ihres Zuständigkeitsbereichs alarmieren können.
Nachteilig wirkt sich aus, dass in einigen Bundesländern das BOSnet bislang nur für eine Funkabdeckung zu (im Freien betriebenen) Fahrzeug-Funkgeräten ausgebaut ist. Für den zuverlässigen Empfang der Funkmelde-Empfänger innerhalb von Gebäuden müssen weitere BOSnet-Basisstationen errichtet werden. Verschlüsselung ist bei Alarmierung über das BOSnet obligatorisch, d. h. es werden grundsätzlich alle Alarmierungs-Nachrichten verschlüsselt übertragen.

Allerdings bleibt noch eine „Hintertür“, wie dennoch eigentlich verschlüsselt übertragene Alarmierungen über BosMon-Webserver im Klartext einsehbar sind:

Werden Funkmelde-Empfänger über ihre serielle Schnittstelle mit dem auswertenden PC verbunden, dann werden die verschlüsselt übermittelte Alarmierungen (die erst im Funkmelde-Empfänger entschlüsselt wurden) in Klartext zur Auswertung durch BosMon weitergegeben. Ist dann der Zugriff auf den Webserver – wegen einer veralteten BosMon-Version – ohne Passwort eingerichtet, so können diese Alarmierungen im Klartext eingesehen werden; die verschlüsselten Alarmierungen, die für andere Funkmelde-Empfänger bestimmt sind, jedoch nicht.

Insgesamt konnten Mitglieder der AG KRITIS auf 38 Webserver zugreifen, bei denen personenbezogene Daten und Gesundheitsdaten frei zugänglich waren. Die Historie der Einträge reichte typischerweise ein paar Tage zurück, in Einzelfällen auch über 2 Jahre. Die Aufstellung der Alarmierungen umfasste dabei über 200 frei einsehbare Einsatz-Aufträge.

Es geht nicht ohne: das Alarm-Fax.

Ein besonderer Fall konnte in Oberbayern beobachtet werden:
In Bayern kommen häufig sogenannte „Alarm-Faxe“ zum Einsatz. Zusätzlich zur Alarmierung über Funkmelde-Empfänger und Sirene sendet die Rettungsleitstelle ein Fax mit den Einsatzdetails ins Feuerwehrgerätehaus. Dies wird von den Anwendern als sehr praktisch empfunden, liegt die benötigte Information doch beim Eintreffen im Feuerwehrgerätehaus ausgedruckt bereits vor und kann direkt in das Einsatzfahrzeug mitgenommen werden. Das Alarm-Fax enthält die genaue Adresse und Geo-Koordinaten der Einsatzstelle, den Namen der Hilfesuchenden und ggf. eine private Rückrufnummer vor Ort.

Bei einer Feuerwehr-Einheit in Oberbayern war das Programm zur Alarm- und Einsatz-Verwaltung offen aus dem Internet erreichbar. Die elektronisch gespeicherten Alarm-Faxe der letzten 2 Monate waren frei zugänglich, trotz des Vermerks „Das Fax darf nur zum internen Dienstgebrauch für den jeweiligen Einsatz verwendet werden und ist anschließend zu vernichten“.

Der Bayerische Landesbeauftrage für den Datenschutz konnte abschließend in der Angelegenheit feststellen:

… zwischenzeitlich ist die Stellungnahme der Freiwilligen Feuerwehr eingegangen.
Hierin wird dargelegt, dass in den letzten Wochen das zusätzliche Alar
mierungssystem auf die Umstellung zur digitalen Alarmierung vorbereitet worden sei.
Dafür sei ein temporärer Fernzugriff für die Betreiberfirma eingerichtet worden.
Dabei sei bedauerlicherweise unbeabsichtigt der von Ihnen angegebene Port geöffnet worden.
Als der Fehler mitgeteilt worden sei, habe die Freiwillige Feuerwehr den Port sofort geschlossen. Auch der Fernzugriff sei wieder geschlossen.
Die Freiwillige Feuerwehr versichere, dass es sich hierbei um ein Versehen gehandelt habe. Zukünftig werde sie diesbezüglich noch mehr Sorgfalt walten lassen.

Aber auch in anderen Bundesländern lassen sich immer wieder „abenteuerliche“ Versionen der Alarmfax-Anbindungen finden. Es ist mindestens ein Landkreis bekannt, in dem es technische Probleme mit den Faxanschlüssen in der Telefonanlage gibt, weshalb Alarmierungen dort von der Rettungsleitstelle auch per unverschlüsselter E-Mail über das Internet versendet werden. Im Feuerwehr-Stützpunkt befindet sich ein kleiner PC, der per IMAP die E-Mails von dem Provider abholt und dann per Outlook-Regel direkt auf dem Drucker ausgibt. Die DSGVO-Konformität dieser Lösung bezweifeln wir.

Was tun, wenn man Feuerwehr- und Rettungsdienst-Alarmierungen im Internet frei zugänglich findet ?

Die 38 gefundenen Webserver sind inzwischen alle nicht mehr öffentlich erreichbar. Verschiedene Meldewege wurden evaluiert. Basierend auf unseren Erfahrungen empfehlen wir das folgende Vorgehen:

Hingegen waren Meldungen an die zuständigen Polizei-Präsidien oder Polizei-Inspektionen oft wenig zielführend. In mehreren Fällen blieb die Meldung über den offenen Zugang zu sensiblen personenbezogenen Daten – nach Auskunft der Staatsanwaltschaft – bis zu 7 Wochen liegen und der Anschluss-Inhaber konnte nicht mehr ermittelt werden (die Speicherfrist der IP-Adresse bei den Betreibern beträgt 7 Tage). In einigen Fällen wurde der Vorgang nach etlichen technischen Rückfragen schließlich doch an die Zentrale Ansprechstelle Cybercrime zur Bearbeitung weitergeleitet.

Bei knapp zehn Prozent der Meldungen gab es Rückmeldungen zum Webserver-Betreiber:

Meistens handelt es sich bei den Betreibern der frei zugänglichen Webserver um BOS-Einheiten, also z. B. Feuerwehr-Einheiten oder Rettungsdienst-Ortsverbände. Die Konfiguration des Webservers ohne Zugangsbeschränkungen ist hier meist aus Unwissen erfolgt und nach direkter Ansprache durch die Polizei kurzfristig abgestellt worden. Es erfolge keine weitere strafrechtliche Ahndung.

In einigen wenigen Fällen erfolgte die Auswertung von unverschlüsselter analoger bzw. unverschlüsselter digitaler Alarmierung mit dem frei einsehbaren Webserver durch Unberechtigte. Dabei handelte es sich um einen Verstoß gegen das Abhörverbot im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).

Fazit

14 deutsche Bundesländer haben sich explizit dazu entschieden, keine verschlüsselte Alarmierung über das „BOSnet“ zu nutzen. Dort kommt zu einem gewissen Teil weiterhin unverschlüsselte (analoge und digitale) Alarmierung zum Einsatz.

In den Innenministerien der Länder ist das datenschutzrechtliche Problem von unverschlüsselter Alarmierung langsam angekommen. Diese können aber nur „konkretisierende Erläuterungen und ergänzende Informationen zur praktischen Umsetzung“ zur Verschlüsselung in der Alarmierung geben. Es sind weiter die Stadt- und Landkreise und Rettungsdienst-Organisationen als Betreiber der Kommunikationsnetze für Einsatzkräfte, die „selbst für die Einhaltung der rechtlichen Vorgaben u.a. nach DSGVO und die Einleitung geeigneter Maßnahmen zur Gewährleistung der Datensicherheit verantwortlich“ sind.

Jede einzelne Kommune steht hier in der Verantwortung und muss teils mit sehr begrenzten Mitteln diese Anforderungen umsetzen. So kommt es vor, dass der Webmaster der Feuerwehr-Homepage schnell mal für seine Kameraden eine SMS-Alarmierung bastelt, die eben nicht der DSGVO entspricht.

Sind verschlüsselungsfähige Funkmelde-Empfänger vorhanden, dann sind diese noch lange nicht administriert und es erfolgt weiterhin eine unverschlüsselte Übertragung. Diese Schwachstelle ist an sich lokal beschränkt, da die technische Reichweite der Alarmierung über Funk meist auf den jeweiligen Landkreis beschränkt ist. Klassisches Abhören ist nur regional möglich. Durch frei zugängliche Webserver bekommt das Problem aber eine bundesweite Dimension.

Auch über 19 Monate nach Bekanntwerden des Problems und der Bereitstellung von Updates durch die Software-Hersteller können auch heute immer noch Webserver gefunden werden, die den unbeschränkten Zugriff auf Alarmierungs-Mitteilungen ermöglichen.

Wir sehen vier konkrete, kurzfristige Maßnahmen zur Behebung der Schwachstellen:

  • Bei den kommunalen Trägern der Alarmierungsnetze muss ein Problembewusstsein geschaffen werden. Idealerweise muss dies auf Länderebene gesteuert werden und dort zentral und datenschutzkonform durchgesetzt werden, mit Mitteln, welche über einen „Hinweis-Flyer“ hinausgehen.
  • Kommunale Betreiber von Webservern für Alarmierungs-Nachrichten müssen zu Zugangsbeschränkungen und starken Passwörtern verpflichtet werden.
    Sicherheits-Updates müssen zeitnah eingespielt werden.
  • Angehörigen von Behörden und Organisationen mit Sicherheitsaufgaben muss der private Betrieb von Webservern für Alarmierungs-Nachrichten untersagt werden.
  • Perspektivisch muss die Alarmierung aller Einsatzkräfte (wie Rettungsdienst, Feuerwehr, THW, Psychosoziale Notfallversorgung) zwingend verschlüsselt erfolgen.

Diese kurzfristigen Maßnahmen werden sicherlich dazu führen, dass der Arbeitsaufwand mancher Hilfsorganisationen geringfügig steigt, denn sie können selbst gebastelte und privat betriebene Lösungen so nicht mehr nutzen. Sie müssen nach der Alarmierung, wie im Beispiel oben gezeigt, durch Rückruf bei der Leitstelle die erforderlichen Einsatzdaten erst erfragen. Aus diesem Grund können die vorgeschlagenen Maßnahmen nur kurzfristiger Natur sein. Darüber hinaus sind auch gesetzliche Änderungen der Verantwortung notwendig.

Unsere politischen Forderungen in diesem Kontext lauten daher:

  • Wir fordern die bundesweite Harmonisierung der Landesgesetze für Brand- und Katastrophenschutz.
  • Wir fordern, dass die Verantwortung für den Betrieb der Alarmierungseinrichtungen von den Kommunen auf das Bundesland übergeht und so in den 16 Landesgesetzen für Brand- und Katastrophenschutz festgeschrieben wird.
  • Darüber hinaus benötigen wir klare gesetzliche Regelung, dass die dem Rettungsdienst nahen Gruppen, wie z. B. die ehrenamtlichen Vereine, die die lokale Psychosoziale Notfallversorgung (PSNV) übernehmen, im gleichen Umfang mit aktuellen, verschlüsselungsfähigen Meldeempfängern auszustatten sind
  • Die Innenministerien der Länder müssen eine fortlaufende Evaluierung der technischen Möglichkeiten zur Verbesserung des Informationsflusses zwischen Leitstellen und Hilfsorganisationen durchführen. Allen Hilfsorganisationen muss der aktuelle Stand der Kommunikationstechnik zur Verfügung gestellt werden.

Der Artikel wurde von unseren Mitgliedern Yves Ferrand und Peter Merk verfasst. Vielen Dank!

Das Bild des Artikels wurde von Jacek Rużyczka aufgenommen, es steht unter einer CC-BY-Lizenz.